|
31.1.2018 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 26/48 |
REGOLAMENT TA' IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2018/151
tat-30 ta' Jannar 2018
li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta' Lulju 2016 dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (1), u b'mod partikolari l-Artikolu 16(8) tagħha,
Billi:
|
(1) |
Skont id-Direttiva (UE) 2016/1148, il-fornituri tas-servizzi diġitali jibqgħu liberi li jieħdu miżuri tekniċi u organizzattivi li huma jikkunsidraw xierqa u proporzjonati biex iġestixxu r-riskju għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tagħhom, sakemm dawk il-miżuri jiżguraw livell adegwat ta' sigurtà u jqisu l-elementi previsti f'dik id-Direttiva. |
|
(2) |
Meta jidentifikaw il-miżuri tekniċi u organizzattivi li huma xierqa u proporzjonati, il-fornituri tas-servizzi diġitali jenħtieġ jindirizzaw is-sigurtà tal-informazzjoni b'mod sistematiku billi jużaw approċċ ibbażat fuq ir-riskju. |
|
(3) |
Sabiex jiżguraw is-sigurtà tas-sistemi u tal-faċilitajiet, il-fornituri tas-servizzi diġitali jenħtieġ li jwettqu proċeduri ta' valutazzjoni u analiżi. Dawn l-attivitajiet jenħtieġ li jikkonċernaw il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, is-sigurtà fiżika u ambjentali, is-sigurtà tal-provvisti u l-kontrolli tal-aċċess. |
|
(4) |
Meta l-fornituri tas-servizzi diġitali jwettqu analiżi tar-riskju fi ħdan il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, dawn jenħtieġ li jiġu mħeġġa jidentifikaw riskji speċifiċi u jikkwantifikaw is-sinifikat tagħhom, pereżempju billi jidentifikaw it-theddid għall-assi kritiċi u kif dawn jistgħu jaffettwaw l-operazzjonijiet, u jiddeterminaw l-aħjar mod kif jimmitigaw dak it-theddid abbażi tal-kapaċitajiet attwali u tal-ħtiġijiet tar-riżorsi. |
|
(5) |
Il-politiki dwar ir-riżorsi umani jistgħu jirreferu għall-ġestjoni tal-ħiliet, inkluż aspetti marbuta mal-iżvilupp tal-ħiliet marbuta mas-sigurtà u mas-sensibilizzazzjoni. Meta jiddeċiedu dwar sett ta' politiki xierqa dwar is-sigurtà tal-operazzjoni, il-fornituri tas-servizzi diġitali jenħtieġ jiġu mħeġġa jqisu l-aspetti tal-ġestjoni tal-bidla, il-ġestjoni tal-vulnerabbiltà, il-formalizzazzjoni tal-operat u tal-prattiċi amministrattivi u l-immappjar tas-servizz. |
|
(6) |
Il-politiki dwar l-arkitettura tas-sigurtà jistgħu jikkompromettu b'mod partikolari s-segregazzjoni tan-netwerks u tas-sistemi kif ukoll miżuri speċifiċi tas-sigurtà għall-operazzjonijiet kritiċi bħall-operazzjonijiet ta' amministrazzjoni. Is-segregazzjoni tan-netwerks u tas-sistemi tista' tgħin lil fornitur tas-servizzi diġitali biex jiddistingwi bejn elementi bħall-flussi tad-dejta u r-riżorsi komputazzjonali li jappartjenu għal klijent, grupp ta' klijenti, il-fornitur tas-servizzi diġitali jew partijiet terzi. |
|
(7) |
Il-miżuri li jittieħdu fir-rigward tas-sigurtà fiżika u ambjentali jenħtieġ li jiżguraw is-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-organizzazzjoni kontra l-ħsara kkawżata minn inċidenti bħal serq, nirien, għargħar jew effetti oħra tat-temp, telf tat-telekomunikazzjonijiet jew tal-elettriku. |
|
(8) |
Is-sigurtà tal-provvista bħall-elettriku, il-fjuwil jew it-tkessiħ jenħtieġ tinkludi s-sigurtà tal-katina tal-provvista li tinkludi b'mod partikolari s-sigurtà tal-kuntratturi u tas-sottokuntratturi tal-parti terza u l-ġestjoni tagħhom. It-traċċabbiltà tal-provvisti kritiċi tirreferi għall-abbiltà tal-fornitur tas-servizz diġitali li jidentifika u jirreġistra sorsi ta' dawk il-provvisti. |
|
(9) |
L-utenti tas-servizzi diġitali jenħtieġ jinkludu persuni fiżiċi u ġuridiċi li huma klijenti jew abbonati ta' suq online jew ta' servizz tal-cloud computing, jew iżuru sit web ta' magna tat-tiftix online sabiex ifittxu ċertu kliem ewlieni. |
|
(10) |
Meta tiġi definita s-sostanzjalità tal-impatt ta' inċident, il-każijiet deskritti f'dan ir-Regolament jenħtieġ jiġu kkunsidrati bħala lista mhux eżawrjenti ta' inċidenti sostanzjali. Jenħtieġ li jingħarfu l-lezzjonijiet miksuba mill-implimentazzjoni ta' dan ir-Regolament u mill-ħidma tal-Grupp ta' Kooperazzjoni fejn jidħol il-ġbir ta' informazzjoni fuq l-aħjar prattika marbuta mar-riskji u mal-inċidenti u fejn jidħlu d-diskussjonijiet dwar il-modalitajiet għar-rappurtar tan-notifiki tal-inċidenti kif jissemma fil-punti (i) u (m) tal-Artikolu 11(3) tad-Direttiva (UE) 2016/1148. L-eżitu jista' jkun linji gwida komprensivi dwar il-livelli limiti kwantitattivi tal-parametri tan-notifika li jistgħu jiskattaw l-obbligu tan-notifika għall-fornituri tas-servizzi diġitali skont l-Artikolu 16(3) tad-Direttiva (UE) 2016/1148. Meta jkun jixraq, il-Kummissjoni tista' tikkunsidra wkoll li terġa' teżamina l-livelli limiti li bħalissa huma stabbiliti f'dan ir-Regolament. |
|
(11) |
Sabiex l-awtoritajiet kompetenti jkunu jistgħu jiġu informati dwar riskji ġodda potenzjali, il-fornituri tas-servizzi diġitali jenħtieġ li jitħeġġu biex minn jeddhom jirrapportaw kwalunkwe inċident li l-karatteristiċi tiegħu ma jkunux għadhom saru midħla tagħhom bħal sfruttamenti, attakki vettorjali jew atturi ta' theddid, vulnerabbiltajiet u perikli ġodda. |
|
(12) |
Dan ir-Regolament jenħtieġ li japplika fil-jum ta' wara t-tmiem tal-iskadenza għat-traspożizzjoni tad-Direttiva (UE) 2016/1148. |
|
(13) |
Il-miżuri previsti f'dan ir-Regolament huma skont l-opinjoni tal-Kumitat għas-Sigurtà tan-Networks u tas-Sistemi tal-Informazzjoni msemmi fl-Artikolu 22 tad-Direttiva (UE) 2016/1148, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament jispeċifika aktar l-elementi li jridu jqisu l-fornituri tas-servizzi diġitali meta jkunu qed jidentifikaw u jieħdu l-miżuri biex jiżguraw ċertu livell ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jkunu qed jużaw fil-kuntest tas-servizzi li qed joffru kif imsemmi fl-Anness III tad-Direttiva (UE) 2016/1148 u jispeċifika aktar il-parametri li jridu jitqisu biex jiġi ddeterminat jekk inċident għandux impatt sostanzjali fuq il-forniment ta' dawk is-servizzi.
Artikolu 2
Elementi tas-sigurtà
1. Is-sigurtà tas-sistemi u tal-faċilitajiet kif imsemmi fil-punt (a) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser is-sigurtà tan-network u tas-sistemi tal-informazzjoni u tal-ambjent fiżiku tagħhom u għandha tinkludi dawn l-elementi li ġejjin:
|
(a) |
il-ġestjoni sistematika tan-netwerks u tas-sistemi tal-informazzjoni li tfisser l-immappjar tas-sistemi tal-informazzjoni u l-istabbiliment ta' sett ta' politiki xierqa għall-ġestjoni tas-sigurtà tal-informazzjoni, inkluż analiżi tar-riskju, ir-riżorsi umani, is-sigurtà tal-operazzjonijiet, arkitettura tas-sigurtà, dejta sigura u ġestjoni taċ-ċiklu tal-ħajja tas-sistema u fejn applikabbli, kriptaġġ u l-ġestjoni tiegħu. |
|
(b) |
is-sigurtà fiżika u ambjentali li tfisser id-disponibbiltà ta' sett ta' miżuri għall-protezzjoni tas-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-fornituri tas-servizzi diġitali kontra l-ħsara permezz tal-użu ta' approċċ ibbażat fuq ir-riskju tal-perikli kollha, li jindirizza pereżempju falliment tas-sistema, żball uman, azzjoni malizzjuża jew fenomenu naturali |
|
(c) |
is-sigurtà tal-provvisti li tfisser l-istabbiliment u ż-żamma ta' politiki xierqa li jiżguraw l-aċċessibbiltà u, fejn applikabbli, it-traċċabbiltà tal-provvisti kritiċi użati fil-forniment tas-servizzi; |
|
(d) |
il-kontrolli tal-aċċess għan-network u għas-sistemi tal-informazzjoni li tfisser id-disponibbiltà ta' sett ta' miżuri sabiex jiżguraw li l-aċċess fiżiku u loġiku għan-network u għas-sistemi tal-informazzjoni, inkluż is-sigurtà amministrattiva tan-network u tas-sistemi tal-informazzjoni, tkun awtorizzata u ristretta abbażi tar-rekwiżiti tan-negozju u tas-sigurtà. |
2. Fir-rigward tat-trattament tal-inċidenti msemmi fil-punt (b) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148, il-miżuri li jieħu l-fornitur tas-servizzi diġitali għandhom jinkludu:
|
(a) |
iż-żamma u l-ittestjar tal-proċessi u tal-proċeduri ta' detezzjoni biex tkun żgurata sensibilizzazzjoni f'waqtha u adegwata tal-avvenimenti anomali; |
|
(b) |
proċessi u politiki dwar ir-rapportar tal-inċidenti u l-identifikazzjoni tad-dgħufiji u tal-vulnerabbiltajiet fis-sistemi tal-informazzjoni tagħhom; |
|
(c) |
reazzjoni skont il-proċeduri stabbiliti u rapportar tar-riżultati tal-miżura meħuda; |
|
(d) |
valutazzjoni tal-gravità tal-inċident, dokumentar tat-tagħrif mill-analiżi tal-inċident, u ġbir ta' informazzjoni rilevanti li jistgħu jservu ta' evidenza u appoġġ għal proċess ta' titjib kontinwu. |
3. Il-ġestjoni tal-kontinwità tan-negozju kif imsemmi fil-punt (c) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser il-kapaċità ta' organizzazzjoni li żżomm jew treġġa' lura kif xieraq l-għoti ta' servizzi skont il-livelli predefiniti aċċettabbli wara inċident ta' tfixkil, u dan għandha tinkludi:
|
(a) |
l-istabbiliment u l-użu ta' pjanijiet ta' kontinġenza bbażati fuq analiżi tal-impatt tan-negozju biex tkun żgurata l-kontinwità tas-servizzi min-naħa tal-fornituri tas-servizzi diġitali li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji; |
|
(b) |
il-kapaċitajiet tal-irkupru minn diżastru li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji. |
4. Il-monitoraġġ, l-awditjar u l-ittestjar kif imsemmi fil-punt (d) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 għandhom jinkludu l-istabbiliment u ż-żamma ta' politiki dwar:
|
(a) |
it-twettiq ta' sekwenza ppjanata ta' osservazzjonijiet jew ta' miżuri biex jiġi valutat jekk in-netwerks u s-sistemi tal-informazzjoni humiex jaħdmu kif suppost; |
|
(b) |
spezzjoni u verifika biex jiġu verifikat jekk hux qed jiġi segwit xi standard jew xi sett ta' linji gwida, li r-rekords huma preċiżi, u li l-miri tal-effiċjenza u tal-effettività qed jintlaħqu; |
|
(c) |
proċess maħsub biex jiżvela n-nuqqasijiet fil-mekkaniżmi tas-sigurtà tan-netwerk u tas-sistema tal-informazzjoni li jipproteġu d-dejta u jżommu l-funzjonalità kif suppost. Dan il-proċess għandu jinkludi proċessi tekniċi u lill-persunal involut fil-fluss tal-operazzjoni. |
5. L-istandards internazzjonali msemmija fil-punt (e) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser standards li jadotta korp internazzjonali tal-istandardizzazzjoni kif imsemmi fil-punt (a) tal-Artikolu 2(1) tar-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (2). Skont l-Artikolu 19 tad-Direttiva (UE) 2016/1148, jistgħu jintużaw ukoll standards u speċifikazzjonijiet aċċettati fil-livell Ewropew jew f'dak internazzjonali li jkunu rilevanti għas-sigurtà tan-network u tas-sistemi tal-informazzjoni, inkluż standards nazzjonali eżistenti.
6. Il-fornituri tas-servizzi diġitali għandhom jiżguraw li għandhom dokumentazzjoni adegwata disponibbli biex iħeġġu lill-awtorità kompetenti tivverifika l-konformità mal-elementi tas-sigurtà stabbiliti fil-paragrafi 1, 2, 3, 4 u 5.
Artikolu 3
Parametri li għandhom jitqiesu għad-determinazzjoni dwar jekk l-impatt ta' inċident huwiex sostanzjali
1. Fir-rigward tal-għadd ta' utenti affettwati minn inċident, b'mod partikolari l-utenti li jiddependu mis-servizz għall-forniment tas-servizzi tagħhom stess kif imsemmi fil-punt (a) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jistima kwalunkwe minn dawn li ġejjin:
|
(a) |
l-għadd ta' persuni fiżiċi u ġuridiċi affettwati li magħhom ġie konkluż kuntratt għall-forniment tas-servizz; jew |
|
(b) |
l-għadd ta' utenti effettwati li jkunu użaw is-servizz, b'mod partikolari abbażi ta' dejta tat-traffiku preċedenti. |
2. Id-durata ta' inċident imsemmija fil-punt (b) tal-Artikolu 16(4) tfisser il-perjodu ta' żmien mill-mument meta jitfixkel il-forniment sew tas-servizzi mil-lat ta' disponibbiltà, awtentiċità, integrità jew kunfidenzjalità sal-mument tal-irkupru.
3. F'dak li jikkonċerna t-tifrix ġeografiku fir-rigward taż-żona affettwata mill-inċident imsemmi fil-punt (c) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jidentifika jekk l-inċident jaffettwax il-forniment tas-servizzi tiegħu fi Stati Membri speċifiċi.
4. L-estent tat-tfixkil tal-funzjonament tas-servizz imsemmi fil-punt (d) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148 għandu jitkejjel fir-rigward ta' waħda jew aktar mill-karatteristiċi milquta ħażin bl-inċident li ġejjin: id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-dejta jew ta' servizzi relatati.
5. Fir-rigward tal-estent tal-impatt fuq l-attivitajiet ekonomiċi u tas-soċjetà msemmija fil-punt (e) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun jista' jikkonkludi, abbażi tal-indikazzjonijiet bħan-natura tar-relazzjonijiet kuntrattwali tiegħu mal-klijent jew, fejn xieraq, l-għadd potenzjali ta' utenti affettwati, jekk l-inċident ikkawżax telf materjali jew mhux materjali sinifikanti għall-utenti bħal b'rabta mas-saħħa, is-sikurezza jew xi ħsara lill-proprjetà.
6. Għal fini tal-paragrafi 1, 2, 3, 4 u 5, il-fornituri tas-servizz diġitali ma għandhomx ikunu meħtieġa jiġbru informazzjoni addizzjonali li ma għandhomx aċċess għaliha.
Artikolu 4
Impatt sostanzjali ta' inċident
1. Inċident għandu jiġi kkunsidrat li għandu impatt sostanzjali meta sseħħ mill-inqas waħda mis-sitwazzjonijiet li ġejjin:
|
(a) |
Is-servizz fornut minn fornitur tas-servizzi diġitali ma kienx disponibbli għal aktar minn 5 000 000 siegħa tal-utent meta t-terminu “siegħa tal-utent” ikun jirreferi għall-għadd ta' utenti affettwati fl-Unjoni għal durata ta' sittin minuta; |
|
(b) |
L-inċident wassal għal telf tal-integrità, tal-awtentiċità jew tal-kunfidenzjalità ta' dejta maħżuna jew trażmessa jew proċessata jew tas-servizzi relatati offruti minn netwerk jew sistema tal-informazzjoni tal-fornitur tas-servizzi diġitali, jew li huma aċċessibbli permezz tagħhom, li jaffettwa aktar minn 100 000 utent fl-Unjoni; |
|
(c) |
L-inċident ħoloq riskju għas-sikurezza pubblika, għas-sigurtà pubblika jew telf ta' ħajjiet; |
|
(d) |
L-inċident ikkawża ħsara materjali għal mill-inqas utent wieħed fl-Unjoni u l-ħsara kkawżata lil dak l-utent tkun aktar minn EUR 1 000 000. |
2. Il-Kummissjoni tista' terġa' teżamina l-livelli limiti stabbiliti fil-paragrafu 1 wara li tqis l-aħjar prattiki miġbura mill-Grupp ta' Kooperazzjoni waqt l-eżerċizzju tal-kompiti tagħha skont l-Artikolu 11(3) tad-Direttiva (UE) 2016/1148 u mid-diskussjonijiet skont il-punt (m) tal-Artikolu 11(3) tagħha.
Artikolu 5
Dħul fis-seħħ
(1) Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f'Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
(2) Għandu japplika mill-10 ta' Mejju 2018.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, it-30 ta' Jannar 2018.
Għall-Kummissjoni
Il-President
Jean-Claude JUNCKER
(1) ĠU L 194, 19.7.2016, p. 1.
(2) Ir-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill tal-25 ta' Ottubru 2012 dwar l-Istandardizzazzjoni Ewropea, li jemenda d-Direttivi tal-Kunsill 89/686/KEE u 93/15/KEE u d-Direttivi 94/9/KE, 94/25/KE, 95/16/KE, 97/23/KE, 98/34/KE, 2004/22/KE, 2007/23/KE, 2009/23/KE u 2009/105/KE tal-Parlament Ewropew u tal-Kunsill u li jħassar id-Deċiżjoni tal-Kunsill 87/95/KEE u d-Deċiżjoni Nru 1673/2006/KE tal-Parlament Ewropew u tal-Kunsill (ĠU L 316, 14.11.2012, p. 12).